A belső védelmi rendszer megerősítése SIEM megoldások kiegészítése jogosultsági információkkal, konfigurációkezeléssel és tevékenységfigyeléssel Hargitai Zsolt Üzletfejlesztési igazgató zhargitai@novell.hu
Energy company reports $1 billion in charges and a loss - New York Times Security Breach Exposes Data on Millions of Payment Cards - InformationWeek Home Depot breach could be as big as Target s Computerworld Neiman Marcus Sued Over Customer Credit Card Data Breach - Bloomberg Target says up to 70 million more customers were hit by December data Identity Theft Remains a Concern for Bank Customers Amid Economic Slowdown The Wall Street Journal breach The Washington Post Health care data breaches have hit 30M patients and counting The Washington Post 2
A cégek több mint 60%-ának volt legalább egy biztonsági eseménye az elmúlt 12 hónapban. 2014 CYBERTHREAT DEFENSE REPORT NORTH AMERICA & EUROPE Cyberedge Group 3
Túlzott magabiztosság IT informatikai vezetők szerint a cégük átlagosan 10 hours belül észleli a biztonsági eseményeket 35% szerint perceken belül 22% szerint gyakran eltart egy napig 5% szerint sokszor eltart egy hétig is 42% nyilatkozott úgy, hogy védettnek érzi a cégét Vanson Bourne study A támadást elszenvedett szervezetek között egy sem volt, amelyik észlelte volna a támadást perceken vagy órákon belül. > 27% néhány napon belül 24%-nak hetekig tartott 39%-nak hónapokig 9%- nak több mint egy évig 2012 Verizon Data Breach Investigations Report 4
Gyorsan változó környezet Felhő Mobilitás BYOD Közösségi hálózatok Otthon Munkahely Felhasználók által kezdeményezett változások 5
A hagyományos megközelítés nem hatékony Az elmúlt években a kiberbűnözők új, fejlettebb módszerekkel kezdtek el dolgozni A peremvédelem feltörése A rossz biztonsági gyakorlatok és konfigurációk kihasználása Egyre fejlettebb adathalászat A szolgáltatók támadása Kiemelt felhasználók jogosultságainak kihasználása 6
A problémát nem az adatok hiánya jelenti Target appears to have failed to respond to multiple warnings from the company s antiintrusion software - A Kill Chain Analysis of the 2013 Target Data Breach, March 26, 2014 Neiman Marcus Hackers Set Off 60,000 Alerts While Bagging Credit Card Data. Ben Elgin, Dune lawrence, Michael Riley, February 21, 2014 7
Túl sok zaj, nem elég hasznos információ Azonosítani kell a szokatlan tevékenységeket 8
SIEM megoldások kiegészítése Jogosultságok, személyazonosság információk Konfiguráció kezelés Tevékenység figyelés 9
SIEM megoldások kiegészítése Jogosultságok, személyazonosság információk Konfiguráció kezelés Tevékenység figyelés 10
A felhasználó a leggyengébb láncszem Adathalászat Fájlmegosztók Hordozható eszközök Konfigurációs hibák Alkalmazottak Elégedetlenek Naívak Szabotőrök Felbéreltek Source: Third Annual Benchmark Study on Patient Privacy & Data Security Ponemon Research 11
Személyazonosság információk felhasználása A felesleges jogosultságok megszűntetése, csökkentése Rendszergazdai jogosultságok menedzselése, figyelése SIEM eszközök integrációja IDM rendszerekkel SIEM rendszerek integrációja hálózati eszközökkel 12
A korlátozás nem elég 13
Megfigyelés is szükséges Disgruntled 14
SIEM megoldások kiegészítése Jogosultságok, személyazonosság információk Konfiguráció kezelés Tevékenység figyelés 15
Tevékenységfigyelés A legfontosabb kérdések Milyen változások történtek? Mikor történtek a változtatások? Ki követte el ezeket? Honnan végezték el a változtatásokat? Jóváhagyott változtatások voltak? 16
Mit figyeljünk? 17
SIEM megoldások kiegészítése Jogosultságok, személyazonosság információk Konfiguráció kezelés Tevékenység figyelés 18
Konfigurációkezelés Konfigurációk és felhasználói jogosultságok felmérése Ajánlott konfigurációk (CIS, NIST, SANS) Biztonsági rések felderítése Peremfeltételek meghatározása és változásjelentések készítése 19 2014 NetIQ Corporation and its affiliates. All Rights Reserved.
SIEM megoldások kiegészítése Jogosultságok, személyazonosság információk Konfiguráció kezelés Változás figyelés 20
Egy példa IDM integráció: Személyazonosság alapú tevékenység figyelés Mobil és hálózati eszköz integráció: Felhasználók/eszközök Fenyegetés + Sérülékenység: Támadás, vagy próbálkozás Tevékenységfigyelés: Konfiguráció változások észlelése CISCO ISE pxgrid Context Sharing 21 2014 NetIQ Corporation and its affiliates. All Rights Reserved. #BrainShare #NetIQ8169
Worldwide Headquarters 515 Post Oak Blvd., Suite 1200 Houston, TX 77027 USA +1 713.548.1700 (Worldwide) 888.323.6768 (Toll-free) info@netiq.com NetIQ.com www.netiq.com/communities 22 2014 NetIQ Corporation and its affiliates. All Rights Reserved.
This document could include technical inaccuracies or typographical errors. Changes are periodically made to the information herein. These changes may be incorporated in new editions of this document. NetIQ Corporation may make improvements in or changes to the software described in this document at any time. Copyright 2014 NetIQ Corporation and its affiliates. All Rights Reserved. ActiveAudit, ActiveView, Aegis, AppManager, Change Administrator, Change Guardian, Compliance Suite, the cube logo design, Directory and Resource Administrator, Directory Security Administrator, Domain Migration Administrator, Exchange Administrator, File Security Administrator, Group Policy Administrator, Group Policy Guardian, Group Policy Suite, IntelliPolicy, Knowledge Scripts, NetConnect, NetIQ, the NetIQ logo, PSAudit, PSDetect, PSPasswordManager, PSSecure, Secure Configuration Manager, Security Administration Suite, Security Manager, Server Consolidator, VigilEnt, and Vivinet are trademarks or registered trademarks of NetIQ Corporation or its subsidiaries in the United States.